مرورگرهای Agentic AI آنقدر مفید شدهاند که به مسئله امنیتی تبدیل میشوند
مرورگری که میتواند بخواند، کلیک کند، وارد حساب شود و کار را جلو ببرد جذاب است؛ اما بدون مجوزهای دقیق، تایید مرحلهای و گزارش فعالیت، سطح حمله جدیدی میسازد.
نویسنده امنیت و کسبوکار دیجیتال

مرورگری که دست دارد فرق میکند
ایده مرورگرهای جدید AI ساده به نظر میرسد: بهجای اینکه از چتبات بپرسی چه کار کنی، اجازه میدهی agent صفحهها را باز کند، بخواند، فرم پر کند و چند قدم از کار را خودش جلو ببرد. این واقعاً مفید است. مرورگر از محل انجام کار به کمککار تبدیل میشود.
اما مرورگری که دست دارد فقط یک search box هوشمندتر نیست. داخل sessionهای لاگینشده مینشیند، صفحههای خصوصی را میبیند، به ایمیل، سند، خرید، پنل ادمین، بانک و تقویم نزدیک میشود. وقتی agent میتواند عمل کند، سوال امنیتی از «چه جوابی میدهد؟» به «چه کاری میکند بدون اینکه من بفهمم؟» تغییر میکند.
برای بازار ایران هم این موضوع جدی است. خیلی از کسبوکارها با پنلهای وب، درگاه پرداخت، واتساپ، ایمیل و داشبوردهای فروش کار میکنند. اگر agent بدون مرز روشن وارد این محیط شود، اشتباه کوچک میتواند داده، پول یا اعتبار را درگیر کند.
مقالههای مرتبط
دیتاسنترهای AI دیگر فقط داستان cloud نیستند؛ به سیاست محلی تبدیل شدهاند
Prompt injection به action injection تبدیل میشود
Prompt injection در چت آزاردهنده است؛ در مرورگر agentic میتواند به action injection تبدیل شود. صفحه مخرب میتواند دستور پنهان کند که agent خواسته کاربر را نادیده بگیرد، دادهای را کپی کند، روی دکمه اشتباه کلیک کند یا به سایت دیگری برود. کاربر شاید آن متن پنهان را نبیند، اما مدل میتواند آن را بخواند.
وب هم محیط تمیزی نیست. تبلیغ، کامنت، review، ticket پشتیبانی و سندهای آپلودشده همه متن دارند و agent ممکن است آنها را context بداند. اگر سیستم نتواند intent کاربر را از محتوای صفحه جدا کند، هر وبسایت به منبع احتمالی دستور تبدیل میشود.
پس طراحی خوب باید مرز سخت داشته باشد. متن صفحه میتواند به agent اطلاعات بدهد، اما نباید بیصدا مجوز را گسترش دهد. خواندن صفحه با ارسال ایمیل فرق دارد. خلاصه کردن سبد خرید با پرداخت فرق دارد. باز کردن سند با share کردن آن فرق دارد.
مجوز خوب باید کمی کسلکننده باشد
امنترین مرورگر agentic احتمالاً در لحظههای حساس کمی کند و کسلکننده رفتار میکند. قبل از کار برگشتناپذیر مکث میکند، میگوید قرار است چه کند، مشخص میکند کدام حساب یا داده درگیر است و تایید ساده میگیرد. این اصطکاک ضعف نیست؛ کمربند ایمنی است.
مجوزها هم باید scope داشته باشند. «از مرورگر من استفاده کن» بیش از حد کلی است. سیستم خوب باید مجوز task-level بدهد: این صفحه را بخوان، این گزینهها را مقایسه کن، پاسخ را draft کن، فرم را پر کن ولی submit نکن، یا فقط بعد از تایید نهایی من submit کن.
لاگ فعالیت هم حیاتی است. اگر agent تنظیمی را عوض کرد، پیامی فرستاد یا فایلی دانلود کرد، کاربر باید ردپای روشن داشته باشد. بدون لاگ، حتی اتوماسیون بیضرر بعد از یک خطا غیرقابل اعتماد میشود.
تیمها چطور استفاده کنند
شرکتها نباید از روی ترس همه چیز را ممنوع کنند، چون بهرهوری واقعی است. شروع خوب از workflowهای کمریسک است: تحقیق، خلاصهسازی، مستندات داخلی، draft پاسخ و آمادهسازی فرم بدون ارسال. پرداخت، پنل production، داده HR و کنسولهای cloud باید تا بلوغ کنترلها محدود بمانند.
تیم امنیت باید agent را مثل اپلیکیشن تست کند: صفحه مخرب، سند آلوده، لینک گمراهکننده، فرم لاگین جعلی، درخواست cross-site و prompt مهندسی اجتماعی. سوال این نیست که مدل مودب است یا نه؛ سوال این است که زیر فشار مرز اختیار را حفظ میکند یا نه.
مرورگرهای Agentic AI احتمالاً عادی میشوند. ابزارهایی برندهاند که قدرت را قابل مشاهده کنند: مجوز شفاف، تایید شفاف، لاگ شفاف و راه برگشت شفاف وقتی agent حرکت اشتباه میزند.
“خبر خوب، خبری است که کاربر بعد از خواندن آن تصمیم بهتری بگیرد.”
درباره نویسنده
سینا فرزان
نویسنده امنیت و کسبوکار دیجیتال
سینا روی امنیت سایبری، بلاکچین، اعتماد دیجیتال و کاربرد فناوری در کسبوکارهای کوچک تمرکز دارد.


